Comments 6
Спасибо за интересную статью. Только не совсем понятно, что все-таки делать, чтобы предотвратить это? Может посоветуете какие-нибудь готовые решения, которые это умеют?
Ну или хотя бы сигнатуры для IPS.
Посмотрел в модуле СОВ одного продукта и ничего похожего не нашел в готовом виде.
Добрый день, спасибо за комментарий! Если говорить в целом про обнаружение и предотвращение вторжений, то в нашем NGFW есть правила на этот случай. Но, если решение, которым Вы пользуетесь, не располагает достаточной собственной экспертизой (обнаруживать и предотвращать попытки вредоносных коммуникаций по ICMP-протоколу), можем посоветовать следующий сценарий:
1. По умолчанию блокируете любой ICMP-трафик во внешнюю сеть.
2. В ситуациях, где сетевым инженерам требуется доступ по этому протоколу во внешнюю сеть - отменяете политику, пока они не закончат работу.
за обзор тулзов спасибо!
но по факту ответ в самой статье как с этим бороться дан - не надо разрешать icmp гонять наружу.
интересно другое. есть ли примеры взломов когда через такой туннель смогли слить данные или реально осуществлять удаленное управление?
Добрый день! Спасибо за вопрос!
Anchor использует ICMP для коммуникаций с С2. Также Cobalt Strike может быть сконфигурирован таким образом, чтобы использовать ICMP для коммуникации с С2. Ещё есть PHOREAL, PingPull, Regin, RemSec, SombRAT, TSCookie и многие другие. Также в статье мы уже упоминали о RomCom, который также использует ICMP для связи с С2. Существует большое количество кейсов, где организации были взломаны с помощью такого ВПО, и, раз злоумышленники используют этот канал в современных кейсах, значит он работает)
ICMP-туннели. Что это и с чем едят?